[아이뉴스24 박지은 기자] 한국인터넷진흥원(KISA)은 7일 국내 기업들이 활용하는 오픈소스 소프트웨어 구성 요소 23만여 개를 분석한 결과, 약 0.5%에서 해킹·디도스(DDoS) 공격에 악용할 수 있는 취약점이 확인됐다고 밝혔다.

오픈소스 활용이 일상화된 만큼 공급망 보안이 기업의 주요 리스크로 부상하는 것이다.

KISA 전경 [사진=한국인터넷진흥원]

<이미지를 클릭하시면 크게 보실 수 있습니다>

KISA는 구성 요소의 3.5%에서 원격 코드 실행, 민감 정보 노출 등 취약점을 발견했으며, 이 가운데 0.49%는 실제 공격 사례가 존재하는 ‘KEV(known exploited vulnerability)’로 분류됐다. 조사 대상 소프트웨어 모두 최소 1개 이상의 오픈소스를 포함하고 있었다.

공급망 보안 규제도 강화하는 추세다. 미국과 EU는 소프트웨어 자재 명세서(SBOM) 제출을 의무화하고 있다. EU는 사이버 복원력법(CRA)과 EUCC 인증 제도를 시행 중이다. 내년 9월부터 EU에 소프트웨어를 판매하는 기업은 출시 후 취약점 발견 시 당국 통보 의무를 지게 된다.

KISA는 기업의 자체 점검 여력이 부족하다는 점을 고려해 소스 코드 도입부터 배포 이후 모니터링까지 전 주기를 관리하는 공급망 보안 체계를 구축했다. 자주 사용하는 오픈소스를 검증해 SBOM을 자동 생성하고, 승인된 구성요소만 쓰도록 지원한다.

자문 사례로는 에스트랙픽의 미국 워싱턴DC 지하철 개찰 시스템 수출 과정 SBOM 제출, 일본에 진출한 한드림넷의 펌웨어 취약점 개선 등이 소개됐다.

KISA는 “깃허브 등 외부 소스를 무조건 신뢰하기 어려운 환경”이라며 “국제 규제가 강화되는 만큼 공급망 기반 보안 관리가 기업의 필수 과제”라고 강조했다.

/박지은 기자(qqji0516@inews24.com)

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]